Información general sobre la supervisión de la integridad del arranque

Para ayudar a que el inicio seguro evite ataques malintencionados de rootkit en máquinas virtuales, la atestación de invitado a través del punto de conexión de Microsoft Azure Attestation (MAA) se usa para supervisar la integridad de la secuencia de arranque. Esta atestación es fundamental para dar validez a los estados de una plataforma. Si las máquinas virtuales de confianza de Azure tiene el arranque seguro y vTPM habilitados y las extensiones de atestación instaladas, Microsoft Defender for Cloud comprueba que el estado y la integridad de arranque de la máquina virtual estén configurados correctamente. Para obtener más información sobre la integración de MDC, consulte la integración de inicio seguro con Microsoft Defender for Cloud.

Importante

La actualización automática de extensiones ya está disponible para la extensión Supervisión de la integridad del arranque - Certificado de invitado. Obtenga más información sobre la Actualización automática de extensiones.

Requisitos previos

Una suscripción de Azure activa y una máquina virtual de inicio seguro

Habilitar la supervisión de la integridad

Azure Portal

1. Inicie sesión en Azure Portal.

2. Seleccione el recurso (Virtual Machines).

3. En Configuración, seleccione Configuración. En el panel de tipos de seguridad, seleccione Supervisión de integridad.

   

4. Guarde los cambios.

Ahora, en la página de información general de las máquinas virtuales, el tipo de seguridad para la supervisión de la integridad debe estar habilitado.

Esto instala la extensión de atestación de invitado, que se puede consultar a través de la configuración en la pestaña de extensiones y aplicaciones.

Plantilla

Puede implementar la extensión de atestación de invitado para máquinas virtuales de inicio seguro mediante una plantilla de inicio rápido:

Windows

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.WindowsAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

Linux

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.LinuxAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

CLI

1. Cree una máquina virtual con inicio seguro que tenga funcionalidades de arranque seguro y vTPM mediante la implementación inicial de la máquina virtual de inicio seguro. Para implementar el uso de la extensión de atestación de invitado (--enable_integrity_monitoring). El propietario de la máquina virtual puede personalizar la configuración de las máquinas virtuales (az vm create).
2. En el caso de las máquinas virtuales existentes, puede habilitar la configuración de supervisión de integridad de arranque mediante la actualización para asegurarse de que la supervisión de la integridad está activada (--enable_integrity_monitoring).

Nota:

La extensión de atestación de invitado debe configurarse explícitamente.

PowerShell

Si el arranque seguro y vTPM están activados, la integridad de arranque estará activada.

1. Cree una máquina virtual con inicio seguro que tenga funcionalidades de arranque seguro y vTPM mediante la implementación inicial de la máquina virtual de inicio seguro. El propietario de la máquina virtual puede personalizar la configuración de las máquinas virtuales.
2. En el caso de las máquinas virtuales existentes, puede habilitar la configuración de supervisión de la integridad de arranque mediante la actualización para asegurarse de que el arranque seguro y vTPM están activados.

Para obtener más información sobre la creación o actualización de una máquina virtual para incluir la supervisión de la integridad de arranque a través de la extensión de atestación de invitado, consulte Implementar una máquina virtual con el inicio seguro habilitado (PowerShell).

Guía de solución de problemas para la instalación de la extensión de atestación de invitado

Síntomas

Las extensiones de Microsoft Azure Attestation no funcionarán correctamente cuando los clientes configuren un grupo de seguridad de red o un proxy. Error similar al del aprovisionamiento de Microsoft.Azure.Security.WindowsAttestation.GuestAttestation.

Soluciones

En Azure, los grupos de seguridad de red (NSG) se usan para ayudar a filtrar el tráfico de red entre los recursos de Azure. Los NSG contienen reglas de seguridad que permiten o deniegan el tráfico de red entrante (o el tráfico de red saliente) de varios tipos de recursos de Azure. Para el punto de conexión de Microsoft Azure Attestation, debe poder comunicarse con la extensión de atestación de invitado. Sin este punto de conexión, el inicio seguro no puede acceder a la atestación de invitado, lo que permite que Microsoft Defender for Cloud supervise la integridad de la secuencia de arranque de las máquinas virtuales.

Desbloquee el tráfico de Microsoft Azure Attestation en grupos de seguridad de red mediante etiquetas de servicio.

1. Vaya a la máquina virtual a la que desea permitir el tráfico saliente.
2. En "Redes" en la barra lateral izquierda, seleccione la pestaña Configuración de red.
3. A continuación, seleccione Crear regla de puerto y Agregar regla de puerto de salida.
   
4. Para permitir que Microsoft Azure Attestation, convierta el destino en una etiqueta de servicio. Esto permite que el intervalo de direcciones IP se actualice y establezca automáticamente reglas de permiso para Microsoft Azure Attestation. La etiqueta de servicio de destino es AzureAttestation y la acción se establece en Permitir.

Los firewalls protegen una red virtual, que contiene varias máquinas virtuales de inicio seguro. Para desbloquear el tráfico de Microsoft Azure Attestation en Firewall mediante la recopilación de reglas de aplicación.

1. Vaya a Azure Firewall, que tiene el tráfico bloqueado desde el recurso de máquina virtual de inicio seguro.
2. En configuración, seleccione Reglas (clásico) para empezar a desbloquear la atestación de invitado detrás del firewall.
3. Seleccione una colección de reglas de red y agregue una regla de red.
4. El usuario puede configurar su nombre, prioridad, tipo de origen, puertos de destino en función de sus necesidades. El nombre de la etiqueta de servicio es el siguiente: AzureAttestation y la acción debe establecerse como permitido.

Para desbloquear el tráfico de Microsoft Azure Attestation en Firewall mediante la recopilación de reglas de aplicación.

1. Vaya a Azure Firewall, que tiene el tráfico bloqueado desde el recurso de máquina virtual de inicio seguro. La colección de reglas debe contener al menos una regla, vaya a FQDN de destino (nombres de dominio completos).
2. Seleccione Colección de reglas de aplicación y agregue una regla de aplicación.
3. Seleccione un nombre, una prioridad numérica para las reglas de aplicación. La acción para la recopilación de reglas se establece en ALLOW. Para obtener más información sobre el procesamiento y los valores de la aplicación, lea aquí.
4. El usuario puede configurar el nombre, el origen, el protocolo. Tipo de origen para una sola dirección IP, seleccione Grupo IP para permitir varias direcciones IP a través del firewall.

Proveedor compartido regional

Azure Attestation proporciona un proveedor compartido regional en cada región disponible. Los clientes pueden usar el proveedor predeterminado para la atestación, o bien crear proveedores propios mediante directivas personalizadas. Cualquier usuario de Azure AD puede acceder a los proveedores compartidos y no se puede cambiar la directiva asociada a él.

Nota:

Los usuarios pueden configurar su tipo de origen, servicio, intervalos de puertos de destino, protocolo, prioridad y nombre.

Pasos siguientes

Obtenga más información sobre el inicio seguro y la implementación de una máquina virtual de confianza.